CGI程序可以通过Web浏览器（用户代理）发送的参数来调用。至少有两种方法可以调用CGI程序：GET方法和POST方法。在GET方法中，参数以名为QUERY_STRING的环境变量的形式提供给CGI程序。参数采用键值对的形式（例如user=george），某些字符以十六进制编码，空格以加号编码，并用&号连接在一起。在POST方法中，参数则通过标准输入提供。

当然，我们知道你绝不会用Bash编写CGI脚本。因此，在本文中，我们将假设如果使用shell来分析CGI原理的情况下应该怎么做。

本文通过给定一个QUERY_STRING变量，我们希望提取键（变量）及其值，以便在脚本中使用它们。

关联数组

最佳方法是将键值对放入关联数组中。关联数组可在ksh93和bash 4.0中使用，但在POSIX或Bourne Shell中不能使用。它们被设计用来存储键值对，其中键可以是任意字符串，因此似乎适合这个任务。

# Bash 4+

# 读取cgi输入字符串
if [[ $QUERY_STRING ]]; then
  query=$QUERY_STRING
else
  read -r query
fi

# 设置一个关联数组来保存查询参数
declare -A params

# 遍历 key=value+%41%42%43 元素
# 分离 key 和 value，并对 value 进行解码
while IFS='=' read -r -d '&' key value; do

    # 解码步骤:
    # 1. 将 \ 替换为 \\. 第4步将把它们改回 \
    # 2. 将加号替换为空格
    # 3. 将百分号替换为 \x
    # 4. 使用 printf %b 将其扩展为 \-转义

    value=${value//\\/\\\\}
    value=${value//+/ }
    value=${value//'%'/\\x}
    printf -v 'params[$key]' %b "$value"
done <<< "$query&"

# 现在我们可以使用名为 params 的关联数组中的参数
# 如果我们需要键列表，则为 "${!params[@]}"。

上述代码中的注释解释了如何从CGI输入字符串中提取查询参数，将其存储在关联数组中，并对查询参数进行解码。在解码过程中，将转义字符进行转义，将加号替换为空格，将百分号转换为\x，并使用printf %b将其转换为特殊字符。最后，可以使用关联数组中的参数进行后续操作，或者使用"${!params[@]}"获取关联数组中的键列表。

printf的-v varname选项在支持关联数组的每个bash版本中都可用，因此我们可以在这里使用它。与调用子shell相比，其效率要高得多。我们还避免了如果值恰好为-n时，使用echo -e可能会出现的潜在问题。

从技术上讲，CGI规范允许在一个查询中多次使用同一个键。例如，group=managers&member=Alice&member=Charlie就是一个完全合法的查询字符串。本页上没有任何一种方法处理这种情况（至少不是我们认为的“正确”方式）。幸运的是，你很少会编写这样的CGI；而且无论如何，你没有被迫在这个任务中使用bash。处理QUERY_STRING的快速、简单且危险的方法是将&转换为;，然后使用eval命令运行这些赋值。然而，强烈不建议使用eval。也就是说，我们总是尽量避免使用eval，只要有其他方式可以绕过它。

更早的Bash Shell

如果你没有关联数组，不要轻率使用eval。一个更好的方法是逐个提取每个变量/值对，并将它们分配给Shell变量，而不执行它们。这需要间接变量赋值，也就是使用一些特定于Shell的技巧。我们将使用Bash语法来编写此代码；转换为ksh或Bourne Shell由您自行完成。

# Bash 3.1 +

# 读取cgi输入字符串
if [[ $QUERY_STRING ]]; then
  query=$QUERY_STRING
else
  read -r query
fi

# 在bash中，变量名称限制为ASCII字母数字和下划线
# 进行变量名称的净化处理
sanitize() {
    local LC_ALL=C  # 仅考虑ASCII字母
    printf %s "${1//[![:alnum:]_]/_}"
}

# 查询字符串类似于 name=Fred+Flintstone&city=Bedrock
# 将其视为使用 & 连接的 key=value 表达式列表。
# 遍历列表并执行每个赋值操作。

while IFS='=' read -r -d '&' var value; do
    # 为确保生成的变量名有效，在前面加上 "get_"，
    # 并将任何无效字符替换为下划线。
    # 1foo-bar => get_1foo_bar
    var=$(sanitize "get_$var")

    value=${value//\\/\\\\}
    value=${value//+/ }
    value=${value//'%'/\\x}
    printf -v "$var" %b "$value"
done <<< "$query&"

# 现在你可以使用 "get_name" 变量进行后续操作。
# 如果我们需要键列表，则为 "${!get_@}"。

上述代码中的注释解释了如何从CGI输入字符串中提取查询参数，并将其存储在以get_为前缀的变量中。在处理变量名称时，使用sanitize()函数对其进行净化处理，将无效字符替换为下划线。在对查询参数进行解码时，将转义字符进行转义，将加号替换为空格，将百分号转换为\x，并使用printf %b将其转换为特殊字符。最后，可以使用以get_为前缀的变量进行后续操作，或者使用${!get_@}获取以get_为前缀的变量的键列表。

虽然这可能不太清晰，但它避免了eval存在的巨大安全问题：执行用户可能输入到网络表单中的任意命令。显然，这是一个改进。

错误的方式

# 不要这样做！
#
# 读取cgi输入字符串
if [ "$QUERY_STRING" ]; then
  query=$QUERY_STRING
else
  read query
fi

# 对编码字符串进行一些转换，比如 "&"（留给读者作为练习）

# 在字符串上运行 eval 命令
eval "$query"

# 坐下来，发现用户在 Web 表单字段中输入了 "/bin/rm -rf /" 等命令，即使不是管理员也会破坏文件系统的某些部分。
# 另一个危险的字符串可能是一个fork bomb（分叉炸弹）。

上述代码中的注释解释了在CGI脚本中不要使用eval执行字符串。使用eval可以执行任意的代码，这可能导致安全漏洞，因为用户可以通过Web表单将任意代码注入脚本中，从而破坏系统或获取敏感信息。因此，应该避免使用eval命令，而是使用其他安全的方法来处理CGI输入字符串，例如在先前的示例中使用的循环和字符串处理函数。

这个例子还在这个页面上的唯一原因是每当我们删除不好的例子时，总会有人重新编写。所以，这是你的不良示例，而且还有多层警告不要使用它。

本文通过用shell模拟CGI的脚本来实现了一个CGI解析的分析，通过分析介绍了很多shell的有用知识点，如果您觉得文章内容对你有一点帮助可以关注我，我在头条平台会持续分享更多实用的shell技巧和最佳实践，如果想系统的快速学习shell的各种高阶用法和生产环境避坑指南可以看看《shell脚本编程最佳实践》专栏，专栏里有更多的实用小技巧和脚本代码分享。